WhatsApp - najbardziej niebezpieczny komunikator dla smartfonów?

WhatsApp jest popularny, ale popularność niekoniecznie idzie w parze z bezpieczeństwem. Zobaczmy, co z nim nie tak.

O problemami związanymi z komunikatorem WhatsApp Messenger można było przeczytać w Sieci już jakiś czas temu, jednak dopiero teraz na jaw wychodzą one jako wyszczególnione. Zobaczcie dlaczego lepiej nie korzystać z WhatsApp Messengera.

WhatsApp to jeden z najpopularniejszych komunikatorów internetowych. Jednym z twórców jest Jan Koum, który jest jednocześnie CEO firmy. Komunikator dostępny jest zarówno na Androida, jak i iOS Apple'a.

Pozwala nie tylko na tradycyjny czat, ale także grupowy. Aplikacja obsługuje także szyfrowanie wiadomości, które jednak niekoniecznie działa jak trzeba.

Na blogu fileprems pojawił się szczegółowy wpis wyjaśniający każdą lukę w zabezpieczeniach WhatsApp. Oczywiście nie będziemy tutaj tłumaczyć całego tekstu, ponieważ jest on dostępny pod tym adresem, jednak ogólnie wyjaśnijmy o co chodzi.

[solr id="simblog-pl-61650" excerpt="0" image="0" words="20" _url="http://simblog.pl/apple-rezygnuje-z-udid-na-rzecz-advertising-identifiera" _mphoto="lightview-61650-270x126--3f47d3b.jpg"][/solr][block src="solr" position="inside"]2421[/block]

Pierwszym problemem jest właśnie szyfrowanie. Do sierpnia 2012 wiadomości wysyłane przy pomocy aplikacji nie były w ogóle szyfrowane - wysyłane i odbierane były jako czysty tekst. Korzystając z WhatsApp będąc połączonym z publiczną siecią WiFi narażaliśmy się na to, że każdy mógł zobaczyć o czym z kim piszemy, a także można było podejrzeć transfery plików. Mimo zapewnień dewelopera o tym, że obecnie najnowsza wersja aplikacji wprowadziła szyfrowanie danych, okazuje się, że i tak nie działa ono do końca tak jak powinno (screen niżej).

Drugą niedogodnością jest autoryzacja. Na Androidzie hasło jest hashem md5 odwróconego numeru IMEI.

$androidWhatsAppPassword = md5(strrev($imei)); // reverse IMEI and calculate md5 hash

W przypadku iOS-a hasło generowane jest na podstawie adresu MAC sieci WLAN:

$iphoneWhatsAppPassword = md5($wlanMAC.$wlanMAC); // calculate md5 hash using the MAC address twice

Nazwa użytkownika jest po prostu numerem telefonu.  Adres IMEI można uzyskać biorąc telefon do ręki, a adres MAC można sprawdzić podłączając się do sieci WLAN Co to oznacza? Dostęp do danych konta WhatsApp jest niebywale prosty.

[solr id="simblog-pl-61653" excerpt="0" image="0" words="20" _url="http://simblog.pl/weekendowy-zestaw-gier-i-aplikacji-15-09-2012" _mphoto="weekendowy-zestaw-gier-i-fc83299.jpg"][/solr][block src="solr" position="inside"]2422[/block]

Prywatność. Autor artykułu zwrócił uwagę, że po uruchomieniu aplikacji WhatsApp przesyła ona całą naszą książkę telefoniczną na swoje serwery i sprawdza, które numery są zarejestrowane w sieci WhatsApp. Takie żądanie prezentuje się następująco:

https://sro.whatsapp.net/client/iphone/iq.php?cd=1&cc=$countrycode&me=$yournumber&u[]=$friend1&u[]=$friend2&u[]=$friend3&u[]=$friend4

$countrycode = the country calling code

$yournumber = while this SHOULD be your number, it is not required, the API will accept any number

$friendX = phone number (without the country calling code) from the address book that will be checked, u[] is an array so it is possible to check multiple numbers with one request

Serwer zwraca odpowiedź pod postacią pliku XML, w którym każdy numer widoczny jest jak na dłoni, podobnie jak statusy użytkowników w czy dane JabberID. Struktura takiego pliku wygląda tak (P:numer telefonu, S: status użytkownika, JID: JabberID):

Ostatnim karygodnym niedopatrzeniem jest szyfrowanie lokalnej bazy danych. Mimo że wymaga to fizycznego dostępu do telefonu lub posiadania jego kompletnej kopii zapasowej, warto zwrócić uwagę na to, że przy pomocy odpowiednich metod można odszyfrować całą historię rozmów aplikacji WhatsApp.

Brzmi nieciekawie? Z pewnością. Ktokolwiek z Was korzysta z tej aplikacji?